Académique Documents
Professionnel Documents
Culture Documents
La Gouvernance et la
Gestion des TI
Objectifs
A la fin de cette leçon ,vous serez capable de :
Décrire les comités de gouvernance des TI: Comité stratégique des
TI, Comité directeur des TI, Comité de sécurité des TI.
Décrire les missions, le plan stratégique, le plan tactique, le plan
opérationnel.
Définir les termes de qualité: Assurance qualité, le contrôle qualité
Décrire les membres des structures des sécurité : CISO, CIO, CSO,
Conseil d’administration, Encadrement supérieur, Architecte de la
sécurité, Administrateur de la sécurité.
Définir politique, conformité, Tableau de bord de performance des
TI, ISO 9001, architecture d’entreprise.
Définir les pratiques d’impartition : sur site, hors site, à l’étranger,
hybride, en interne, impartie.
Définir les documents de politiques : classification des données,
politique d’utilisation acceptable, politique de contrôle d’accès.
Gouvernance d’entreprise
Système selon lequel les organisations sont dirigées et
contrôlées.
Ensemble de responsabilités et de pratique qu’utilise la
direction d’une organisation pour fournir une orientation
stratégique, de façon à s’assurer que les objectifs
peuvent être atteints, que les risques sont gérés
convenablement et que les ressources
organisationnelles sont utilisées correctement.
Structure par laquelle sont fixés les objectifs, les moyens
d’atteindre ces objectifs et les moyens de surveillance de
la performance d’une organisation.
Gouvernance des TI
Processus visant à favoriser la prise de décisions
efficace en ce qui a trait aux investissements et aux
activités de TI
arrimer les investissements des TI aux activités de
l’organisation pour permettre l’atteinte des objectifs
stratégiques et le respect des priorités
atténuer les risques – au sein des TI et alentour
Assure l’alignement des stratégies TI à la stratégie
d’entreprise.
Se concentre sur la valeur ajoutée des TI pour
l’organisation et la gestion des risques.
Relève du Conseil d’Administration et des Dirigeants
Principaux enjeux de la gouvernance
des TI
Amener les unités à être parties prenantes des
décisions relatives aux TI
Financement des coûts d’exploitation généré par
l’investissement en capital
Amener la direction à considérer l’investissement
dans les TI comme une mesure stratégique
Mise à jour continue de l’équipement
Difficultés liées au marché et à la réglementation
Gestion du portefeuille de projets
Processus généraux de
Gouvernance des TI
La gestion des ressources TI : Tenir un
inventaire à jour de toutes les ressources des TI
et qui gère le processus de gestion des risques.
La mesure des performances : s’assurer que les
ressources fonctionnent comme prévu pour
livrer de la valeur à l’organisation.
La gestion de la conformité : Exigences de
conformité aux lois et règlements.
Rôle de la vérification dans la
gouvernance
Faire des recommandations importantes à la haute
direction afin qu’elle puisse améliorer la qualité et
l’efficacité des initiatives mises en place par la
gouvernance des TI.
Garantir la conformité des initiatives de gouvernances.
Evaluer les aspects suivants :
Alignement des fonctions SI sur la mission, la vision, les valeurs, les objectifs et
les stratégies de l’organisation.
Les exigences légales, environnementales, qualitatives, fiduciaires, sécuritaires
et confidentielles de l’information.
L’environnement de contrôle de l’organisation.
Les risques inhérents au sein de l’environnement des SI.
L’investissement et les dépenses en TI
Comités de gouvernance des TI
Comité Stratégique des TI
Conseil le CA sur l’alignement des TI sur l’orientation de
l’organisation, l’optimisation des coûts et risques TI.
Se concentre sur les questions actuelles et futures des stratégie
des TI.
(Membre du CA et spécialistes non membres).
Comité Directeur des TI
Gère les projets TI courants et décide des dépenses TI.
Supervise la gestion quotidienne de la prestation des services
de TI.
Se concentre sur la mise en œuvre.
(Cadre, Utilisateurs clés, CIO, Conseil clés
Tableau de Bord de Performance des TI
Modèle
d’entreprise
Modèle de
systèmes
Modèle de
technologie
Représentation
détaillée
Planification stratégique
Stratégique : Long terme, 3 – 5 ans, Tient compte des
objectifs de l’entreprise, de la réglementation et des
avancées technologiques.
Tactique : 1 an, traduction en objectif du plan
stratégique.
Stratégique
Opérationnel : Plan détaillé.
Tactique
Opérationnel
Politiques et Procédures
Les P&P reflètent l’orientation et les conseils apportés
par la direction relativement au développement des
contrôles pour les systèmes d’information, les
ressources connexes et les processus du service des SI.
Les politiques constituent des documents de haut niveau
et représentent la philosophie de l’organisation. La
direction doit créer un environnement de contrôle positif
en assumant la responsabilité de formuler, développer,
documenter, diffuser et contrôler les politiques ayant trait
aux directives et aux objectifs globaux.
La direction doit réviser les politiques périodiquement
(Nouvelles régulations, organisations, technologies, …).
L’auditeur IS s’intéresse d’avantage à la PSI
Politique de sécurité de
l’information
Communique une norme de sécurité cohérente aux
utilisateurs, à la direction et au personnel technique
après approbation et publication.
Première étape dans la mise en place d’une
infrastructure de sécurité.
Doit stipuler :
Définition de la sécurité de l’information, ses objectifs généraux
et sa portée.
Les intentions de la direction appuyant les objectifs de sécurité.
Le cadre définissant les objectifs de contrôle et les contrôles.
Une brève explication des politiques, principes et normes de
sécurités, les exigences de conformité.
Une définition des responsabilités générales et spécifiques.
Les références à la documentation appuyant les politique.
Politique de sécurité de
l’information
En général, l’organisation peut
documenter les PSI comme une série de
politique :
Politique de sécurité de l’information de haut niveau
Politique de classification des données
Politique d’utilisation acceptable
Politique d’utilisateur final
Politique de contrôle d’accès
Révision de la PSI
Les éléments de la révision de gestion:
Les résultats des révisions indépendantes
L’état des mesures préventives, de détection et correctrices
Les résultats des révisions antérieures
Les performance du processus et la conformité à la PSI
Les changements de nature à affecter l’approche de l’organisation
relativement à la gestion de la sécurité
Les tendances liées aux menaces et aux vulnérabilités
Les signalement des incidents de sécurité
Les recommandations des autorités concernées, ….
Les résultats de la révision:
L’amélioration de l’harmonisation de la sécurité de l’information avec les
objectifs métiers
L’amélioration de l’approche de l’organisation face à la gestion de la
sécurité de l’information et de ses processus
L’amélioration des objectifs de contrôle et des contrôles
L’amélioration de l’attribution des ressources et des responsabilités, ….
Procédures
Ensemble d’étapes détaillées, définies et documentées
permettant l’implantation des politiques.
Mets en œuvre l’idée de l’énoncé de politique.
Plus dynamiques que les politiques apparentées, elles
reflètent les changements courants intervenus dans les
priorités de l’entreprise et son environnement.
L’auditeur IS révise les procédures pour identifier,
évaluer et tester les contrôles en lien avec les processus
d’entreprise.
L’auditeur doit s’intéresser particulièrement aux
méthodes de déploiement et à l’automatisation des
mécanismes pour entreposer, distribuer et gérer les
procédures des TI.
Gestion du risque
Processus d’identification des vulnérabilités et
des menaces touchant les ressources
informationnelles utilisées par une organisation
pour atteindre les objectifs de l’entreprise.
Commence par la compréhension adéquate de
la propension de l’organisation à prendre des
risques.
Comprend l’identification, l’analyse, l’évaluation,
le traitement, le suivi et la communication des
impacts des risques dans les processus en TI.
Stratégie de gestion du risque
En fonction du type de risque et de son
importance pour l’entreprise, les
gestionnaires et le CA peuvent choisir :
Une stratégie d’évitement
Une stratégie d’atténuation
Une stratégie de transfert (détourner ou
attribuer)
Une stratégie d’acceptation
Processus de gestion du risque
1- Etablir une taxonomie (Identification et
classification) des actifs informationnels. Suivant
la valeur de l’actif, ou de l’importance et de la
sensibilité.
2- Evaluer les menaces et les vulnérabilités
associées aux actifs et les risques de
survenance.
3- Analyser les impacts.
4- Evaluer le risque global.
5- Evaluer les contre-mesures actuelles et
futures.
Niveaux de gestion de risques
Opérations : risques qui pourraient compromettre
l’efficacité des systèmes TI et de l’infrastructure de
soutien, la capacité de contourner les contre-mesures, la
possibilité de perte ou un caractère non fonctionnel des
ressources clés et l’échec de conformité aux lois et
règlements.
Projet : capacité à comprendre et à gérer la complexité
du projet.
Stratégie : La manière dont les capacités des TI
s’alignent sur la stratégie de l’entreprise, la manière dont
elles se comparent à celles des compétiteurs et les
menaces provoquées par les changements
technologiques.
Méthodes d’analyse du risque
Méthodes d’analyse qualitative : utilise un classement
en mots ou un classement descriptif pour décrire les
impacts ou la probabilité.
Méthodes d’analyse semiquantitative : Les
classements descriptifs sont associés à une échelle
numérique
Méthodes d’analyse quantitative : utilise les valeurs
numériques pour décrire la probabilité de risques et leurs
impacts à l’aide de données provenant de plusieurs
types de sources(documents historiques, expériences
passées, pratiques, documents de l’industries, théories
statistiques, tests et expériences)
Pratique de gestion des SI :
Gestion des ressources humaines
Politique d’embauche et de cessation d’emploi
Guide du nouvel embauché (politiques et
procédures)
Politiques de promotion
Politique de formation et de développement
personnel
Répartition et déclaration du temps de travail
Vacances et congés
Evaluation du rendement de l’employé
Pratique de gestion des SI :
L’impartition
L’impartition ou externalisation fait référence à la
façon par laquelle l’entreprise obtiendra les
fonctions des SI requises afin de soutenir ses
activités. Les entreprises peuvent exécuter
toutes les fonctions en internes des SI d’une
manière centralisée, ou impartir l’ensemble ou
une partie des fonctions partout dans le monde.
La stratégie d’impartition doit être propre à
chaque fonction qui peut être exécutée sur site,
hors site ou à l’étranger.
Pratique de gestion des SI :
La mondialisation
La mondialisation des fonctions des SI exige que la
direction supervise activement les lieux éloignés.
L’auditeur SI doit s’assurer que la direction des SI
prenne en considération les risques liés et la complétion
de la transition à des lieux éloignés :
Les problèmes légaux, réglementaires et fiscaux.
La continuité des opérations
Le personnel
Les problèmes de télécommunication
Les problèmes internationaux et interculturels (globalisation)
Pratique de gestion des SI :
L’informatique en nuage
Informatique en nuage (Cloud Computing) : Modèle
permettant un accès réseau, pratique et sur demande, à
un ensemble partagé de ressources informatiques
configurables (ex. réseaux, serveurs, stockage,
applications et services) qui peuvent être rapidement
dimensionnées et diffusées en limitant au minimum les
démarches de la part de la direction ou les interaction
avec le fournisseur de services. NIST & Cloud Security
Alliance.
Trois modèles de services : IaaS; PaaS et SaaS
Quatre modèle de déploiement : Privé, Communautaire,
Public et Hybride
Pratique de gestion des SI :
L’informatique en nuage
Les caractéristiques essentielles :
Libre service à la demande
Accès étendu au réseau
Mise en commun des ressources
Rapidité et élasticité
Service mesuré
Pratique de gestion des SI : La
gouvernance dans l’impartition
La gouvernance dans l’impartition étend la responsabilité des deux
parties aux points suivants :
L’assurance pour les deux partie de la viabilité contractuelle grâce à la révision
et l’amélioration aux gains
L’inclusion d’un calendrier de gouvernance clairement défini dans le contrat
La gestion de la relation pour s’assurer que les obligations contractuelles sont
respectées grâce aux accords sur les niveaux de service et aux accords sur les
niveaux opérationnels.
L’identification et la gestion de tous les partenaires, de leur relation et de leurs
attentes
La définition claire des rôles et des responsabilités pour : la prise de décision, la
signalisation progressive, la gestion de conflit, la gestion de la demande et la
fourniture de service.
L’attribution des ressources, des dépenses et la consommation des services
pour répondre aux besoins priorisés.
L’évaluation continue de la performance, du coût, de la satisfaction de
l’utilisateur et de l’efficacité
La communication en cours parmi tous les partenaires
Pratique de gestion des SI :
Gestion des changements
Processus défini et documenté pour identifier et apporter des
améliorations technologiques au niveau de l’infrastructure et
de l’application qui profite à l’entreprise et qui font participer
tous les niveaux de l’entreprise touchés par les changements.
Le service SI est au centre des changements technologiques
Les changements doivent être soutenus par les dirigeants
Le processus de communication informe les utilisateurs des
changements, de leurs conséquences et avantages, et fournit
la façon d’obtenir les commentaires et la participation des
utilisateurs.
Processus de validation des exigences d’affaires, de la
formation et des tests sur les fonctionnalités nouvelles ou
modifiées.
Pratique de gestion des SI :
Gestion de la qualité
Moyen par lequel les procédés établis par la division des
SI sont contrôlés, mesurés et améliorés.
Le développement et l’entretien de procédés définis et
documentés par la division des SI sont la preuve d’une
gouvernance efficace des ressources d’information.
Les volets de contrôle de la qualité peuvent inclure : la
conception, l’entretien et l’implantation des logiciels;
l’acquisition de matériel et de logiciels; les opérations
quotidiennes; la gestion du service; la sécurité; la gestion
des RH; l’administration générale.
S’informer sur les normes ISO 9001 www.iso.org
Pratique de gestion des SI :
Optimisation de la performance
C’est un processus mené par des indicateurs de
performance définis en fonction de la complexité des
procédés et des activités d’une organisation, de sa
solution stratégique des TI et des objectifs essentiels et
stratégiques concernant l’implantation des TI.
Les grandes phases de la mesure de performance sont :
La mise en place et la mise à jour des mesures de la
performance.
L’instauration du principe d’imputabilité pour les mesures de la
performance.
Le recueil et l’analyse des données sur la performance.
Les rapports et l’utilisation de l’information sur la performance.
Structure organisationnelle
Elle montre la division des SI, normalement dirigée par
un gestionnaire / directeur des TI ou, au sein de grandes
organisations, par un dirigeant principal de l’information.
L’auditeur des SI doit passer du temps dans le secteur
de l’entité qui se fait vérifier pour observer et déterminer
si la description de l’emploi et les structures sont
adéquates.
L’auditeur des SI doit évaluer la relation entre diverses
fonctions, les responsabilités et les autorités lors de
l’évaluation adéquate de la séparation des tâches.
Séparation des tâches au sein
des SI
La séparation des tâches évite le risque qu’une
seule personne soit responsable de diverses
tâches essentielles, ce qui pourrait provoquer
des erreurs ou des détournements qui ne
seraient pas détectés rapidement dans le cours
normal des procédés d’affaires.
Les tâches à séparées sont :
La garde des actifs
L’autorisation des transactions
L’accès aux données
Mécanismes de contrôle de la
séparation des tâches
Formulaire d’autorisation : Les gestionnaires des divisions
d’utilisateur doivent fournir aux SI les formulaires officiels
d’autorisation qui définissent les droits d’accès de leurs
employés.
Liste des droits d’accès de l’utilisateur : La division des SI doit
utiliser les données provenant des formulaires d’autorisation
pour créer et maintenir des listes des droits d’accès de
l’utilisateur. Celles-ci définiront qui est autorisé à mettre à
jour, à modifier, à supprimer ou à visionner les données
Contrôles compensatoires : Contrôles correctifs mises en
place pour atténuer le risque qui résulte d’un manque de
séparation des tâches (Pistes d’audit, réconciliation, rapport
d’anomalies, journaux de transaction, révisions de contrôles,
révisions indépendantes).
Imaginez une entreprise
Une Banque avec 1 Million de comptes clients, les
numéros de sécurité sociales, les numéros de
cartes de crédit, les informations de prêts.
Une compagnie aérienne desservant
quotidiennement 250 vols pour près de 50.000
personnes…
Un SI de pharmacie enregistrant près de 5 million
de prescriptions par années, certains de ces
prescriptions étant vitales pour les malades…
Une industries de 200 employés produisant 200,000
produits par jour avec l’aide des robots…
Planification de la continuité des
opérations (PCO)
L’objectif de la continuité des opérations et de la reprise
après sinistre est de permettre à une entreprise de
continuer à offrir ses services essentiels advenant une
perturbation et de survivre à une interruption
désastreuse des activités.
La première étape d’un PCO est d’identifier les
processus de l’entreprise ayant une importance
stratégique.
La haute direction est la première responsable du PCO,
puisque ces dirigeants ont la mission de sauvegarder les
actifs et la viabilité de l’organisation.
Plan de continuité des activités, plan de reprise de
services, plan de restauration.
Planification de la continuité des
opérations des SI (PCO)
Le traitement des SI revêt une importance stratégique. Il s’agit
d’un élément critique puisque la plupart des processus clés
d’entreprise dépendent de la disponibilité des composants et
données clés de l’infrastructure du système.
Le plan de continuité des opérations des Si doit s’aligner sur
la stratégie de l’entreprise.
Le PCO du SI doit être cohérent avec le PCO d’entreprise et
doit s’appuyer sur ce dernier.
Toutefois, des mesures doivent être mises en place pour
réduire ou éliminer l’éventualité d’une interruption.
C’est la mesure de contrôle la plus critique et dépend de
l’efficacité des autres contrôles(particulièrement de la gestion
des incidents et des solutions de sauvegarde et de reprise)
Imaginez un sinistre
Défaillance d’un serveur
Défaillance d’un disque
Bris de confidentialité
Attaque de Déni de Services
Panne d’alimentation électrique
Neige
Spyware
Virus ou Vers
Tornade, Séisme
Erreur d’utilisateurs
Quel impact sur les processus d’entreprise ?
Sinistres et autres évènements
perturbateurs
Les sinistres constituent des perturbations
causant l’arrêt du fonctionnement des
ressources informationnelles critiques pendant
un laps de temps, ce qui a un impact négatif sur
les opérations d’entreprise.
La perturbation pourrait durer quelques minutes
ou quelques mois en fonction des dommages
causés aux ressources informationnelles.
A la suite d’un sinistre, des efforts sont
nécessaires pour revenir au statut opérationnel.
Gestion des atteintes à l’image
Des rumeurs néfastes, provenant des sources
diverses (même à l’interne), peuvent être
associées ou non à un incident important ou une
crise majeure et avoir des conséquences
dévastatrices pour l’entreprise.
L’une des pires conséquences d’une crise est la
perte de la confiance.
Des activités de relations publiques au sein
d’une organisation peuvent jouer un rôle
important pour limiter les atteintes à l’image et
s’assurer que la crise n’empire pas.
Processus de planification de la
continuité des opérations
1- Planification du projet (Politique de CA, portée du
projet)
2- Evaluation des risques et analyse
3- Analyse de l’impact des risques de l’entreprise
4- Développement d’une stratégie de CA
5- Développement du plan de CA (Exécution de la
stratégie, mise en œuvre des contre-mesures des
risques)
6- Formation de conscientisation (Sensibilisation)
7- Test du plan
8- Surveillance du plan de CA, maintenance et mise à
jour
Politique de continuité des
opérations
Un document approuvé par la haute direction qui définit
l’étendue et la portée des efforts de continuité des
opérations au sein de l’entreprise.
Sa portion interne est un message à l’intention des
parties prenantes à l’interne ( employés, gestionnaires,
directeurs) déclarant que l’entreprise met en œuvre des
efforts et investit ses ressources, et s’attend à ce que le
reste de l’organisation en fasse autant.
Sa portion publique est un message à l’intention des
parties prenantes à l’externe (actionnaires, régulateurs,
autorités? Etc) déclarant que l’entreprise prend ses
obligations (fourniture de service, conformité) au sérieux.
Gestion des incidents
Un incident constitue un événement imprévu, même
s’il ne provoque aucun dommage significatif. De
nature dynamique, ils évoluent, changent avec le
temps et selon les circonstances. En raison de cela,
leur gestion doit être dynamique, proactive et bien
documentée.
Tous les types d’incidents doivent être classés en
fonction de l’estimation de leur niveau de nuisance à
l’organisation.
La classification de l’incident peut cependant
changer dynamiquement jusqu’à ce que l’incident
soit résolu.
Classification des incidents
Négligeables : ne causent aucun dommage perceptible
ou significatif.
Mineurs : bien que non négligeables, n’ont pas d’impacts
matériels (d’importance relatives) ou financiers négatifs.
Majeurs : causent des impacts matériels négatifs sir les
processus de l’entreprise et peuvent affecter d’autres
systèmes, services ou même des clients externes.
Crise : incidents majeurs pouvant avoir d’importants
impacts matériels (d’importance relative) sur le
fonctionnement continu de l’entreprise et des impacts
négatifs sur d’autres systèmes ou tiers.
Analyse de l’impact des risques
de l’entreprise (BIA)
Quelles sont les processus stratégiques de l’entreprise ?
A quelles sinistre l’entreprise l’entreprise est – elle
exposée ?
Quels peuvent être les conséquences de ces sinistres
sur le plan financier, humain, réglementaire, image,
environnement, …
Quelles sont les ressources d’information essentielles
liées aux processus critiques de l’organisation ?
Quelle est la période de reprise critique des ressources
d’information pour lesquelles le traitement doit être repris
avant que des pertes significatives ou inacceptables ne
surviennent ?
Classification des opérations et
analyse de criticité
Essentiel : Ces fonctions ne peuvent être effectuées à moins d’être
remplacées par des capacités identiques. Les applications essentielles ne
peuvent être remplacées par des méthodes manuelles. La tolérance aux
interruptions est très faible; par conséquent, le coût d’une interruption est
très élevée.
Vital : Ces fonctions peuvent être exécutées manuellement, mais seulement
pour une courte période? La tolérance aux interruptions est plus élevée que
pour les systèmes essentiels, et les coût d’interruption moins élevés, à la
condition que les fonctions soient restaurées dans un temps donné
(habituellement cinq jours ou moins).
Important : Ces fonctions peuvent être exécutées manuellement, à un coût
acceptable et pour une période de temps prolongée. Bien qu’elles puissent
être exécutées manuellement, il s’agit habituellement d’un processus
difficile qui nécessite l’ajout de personnel supplémentaire.
Non important : Ces fonctions peuvent être interrompues pendant un long
moment, à peu de frais ou sans frais pour l’entreprise, et nécessitent peu ou
pas de mises à jours lors de la restauration.
Coûts d’interruption et de
reprise
Opérations interrompues
* Salle rouge
Temps
Développement du PCO
La préparation avant le sinistre couvrant la gestion de la réaction
aux incidents dans le but de traiter tous les incidents pertinents
affectant les processus de l’entreprise;
La procédure d’évacuation;
La procédure de déclaration d’un sinistre;
Les circonstances de déclaration d’un sinistre;
La définition claire des responsabilités dans le plan;
Le définition claire des personnes responsables de chaque fonction
dans le plan;
La détermination claire de l’information contractuelle;
L’explication de chaque étape du processus de reprise des
opérations;
La détermination claire des diverses ressources requises pour la
reprise et la poursuite des opérations de l’organisation;
Eléments d’un PCO
Plan de continuité des opérations
Plan de continuité des activités
Plan de reprise des opérations
Plan de continuité du soutien/plan de secours
des TI
Plan de communication en cas de crise
Plan de réaction aux incidents informatiques
Plan de transport
Plan d’urgence pour les occupants
Plan d’évacuation et de relocalisation d’urgence
Eléments d’un PCO
Les politiques qui régiront le travail de continuité et de
reprise;
Les objectifs, exigences ou résultats pour chaque phase;
Les installations de remplacement pour exécuter les
tâches et le opérations;
Les ressources informationnelles essentielles qu’il faut
déployer;
Les personnes responsables du déroulement des
opérations;
Les ressources disponibles pour aider au déploiement (y
compris les ressources humaines);
L’échéancier des activités avec la liste des priorités.
Eléments d’un PCO
Décideurs clés : Répertoire de notification des décideurs
clés et des utilisateurs finaux qui doivent initier et
exécuter le travail de reprise des opérations.
B. Autorisation
C. Enregistrement
D. Correction
Question type examen
Dans une petite entreprise, où la séparation des tâches
n’est pas pratique, un employé effectue la fonction
d’opérateur d’ordinateur et de programmeur
d’application. Lequel des contrôles suivants un auditeur
des SI doit-il recommander ?
A. Des journaux automatisés des changements
apportés aux bibliothèques de conception.
B. L’embauche de main d’œuvre supplémentaire pour
permettre la séparation des tâches.
C. Des procédures qui vérifient que seuls les
changements autorisés au programme sont implantés.
D. Des contrôles d’accès pour empêcher l’opérateur
d’apporter des modifications au programme.
Question type examen
The MOST important function of the IT
department is:
1. Cost effective implementation of IS
functions
2. Alignment with business objectives
3. 24/7 Availability
4. Process improvement
Question type examen
Product testing is most closely associated
with which department:
1. Audit
2. Quality Assurance
3. Quality Control
4. Compliance
Question type examen
“Implement virtual private network in the
next year” is a goal at the level:
1. Strategic
2. Operational
3. Tactical
4. Mission
Question type examen
Which of the following is not a valid purpose
of the IS Audit?
1. Ensure IS strategic plan matches the intent of
the enterprise strategic plan
2. Ensure that IS has developed documented
processes for software acquisition and/or
development (depending on IS functions)
3. Verify that contracts followed a documented
process that ensures no conflicts of interest
4. Investigate program code for backdoors, logic
bombs, or Trojan horses
Question type examen
Documentation that would not be viewed by
the IT Strategy Committee would be:
1. IT Project Plans
2. Risk Analysis & Business Impact
Analysis
3. IT Balanced Scorecard
4. IT Policies
Question type examen
Who can contribute the MOST to
determining the priorities and risk
impacts to the organization’s information
resources?
1. Chief Risk Officer
2. Business Process Owners
3. Security Manager
4. Auditor
Question type examen
A document that describes how access
permission is defined and allocated is
the:
1. Data Classification
2. Acceptable Usage Policy
3. End-User Computing Policy
4. Access Control Policies
Question type examen
The role of the Information Security
Manager in relation to the security
strategy is:
1. Primary author with business input
2. Communicator to other departments
3. Reviewer
4. Approves the strategy
Question type examen
The role most likely to test a control is the:
1. Security Administrator
2. Security Architect
3. Quality Control Analyst
4. Security Steering Committee
Question type examen
The Role responsible for defining security
objectives and instituting a security
organization is the:
1. Chief Security Officer
2. Executive Management
3. Board of Directors
4. Chief Information Security Officer
Question type examen
When implementing a control, the PRIMARY
guide to implementation adheres to:
1. Organizational Policy
2. Security frameworks such as COBIT,
NIST, ISO/IEC
3. Prevention, Detection, Correction
4. A layered defense
Question type examen
The persons on the Security Steering
Committee who can contribute the BEST
information relating to insuring
Information Security success is:
1. Chief Information Security Officer
2. Business process owners
3. Executive Management
4. Chief Information Officer
Remerciements
Pour IBT ( Institute of Business and
Technologies)
BP: 15441 Douala - Cameroun
Par Arsène Edmond NGATO, CISA,
CISM, PMP, OCP 10g/11g
Téléphone- 99183886
Email- arsenengato@yahoo.fr
Sources : Manuel de préparation CISA 2012,
Divers articles téléchargés sur Internet.